约有 11 项符合查询结果, 以下是第 1 - 2项。
费时 < 1 秒。
KTHREAD里有
+0x018 InitialStack : Ptr32 Void
+0x01c StackLimit : Ptr32 Void
+0x028 KernelStack : Ptr32 Void
Posted in WinDbg
by
benlong
on 2009-09-16
Nt和Zw的区别可以看看这篇文章
http://advdbg.com/download/storeshow.aspx?id=cba1a009-706b-46b9-9cd6-aab77e2b608c
Posted in Windows内核调试
by
benlong
on 2009-08-06
看看是不是这个原因http://hi.baidu.com/1ian9yu/blog/item/a41cbadd73576adf8c102931.html
Posted in Windows内核调试
by
benlong
on 2009-06-30
KiSystemService中
80542483 648b3524010000 mov esi,dword ptr fs:[124h]
8054248a ffb640010000 push dword ptr [esi+140h]
在陷进框架中保存了线程原来的Previous Mode
接下来
80542493 8b5c246c mov ebx,dword ptr [esp+6Ch]
80542497 83e301 and ebx,1
8054249a 889e40010000 mov byte ptr [esi+140h],bl
就是设置新的Previous ...
Posted in Windows内核调试
by
benlong
on 2009-06-02
对于KeyNode、KeyValue和KeySecurity这些结构地址的前两个字节就是其特征签名。比如KeyNode(kn或kl),KeyValue(kv),KeySecurity(ks),这些结构应该可以通过特征签名来判断。
Posted in Windows内核调试
by
benlong
on 2009-05-13
KeyControlBlock中+10h指向HHIVE,HHIVE中+4指向_CELL_DATA*,
即8094f318 ff5604 call dword ptr [esi+4]
Posted in Windows内核调试
by
benlong
on 2009-05-11